Raspi Runterfahren - Passwort Blödsinn

  • @ThomasL

    Dein sudo-Gebashe in Ehren, aber wo glaubst du den Unterschied zu einer Schadsoftware zu sehen, die mittels pkexec als UID=0 läuft?

    Ohne weitere Schutzmassnahmen ist das Szenario identisch.

    Fakt ist, innerhalb des sudo-Pwd-Keep kann ein in der Shell laufender geforkter .bashrc-Befehl mit minimalen Aufwand für die Dauer des PWD-Keep alles machen, was er nur will... einschließlich Programme aus dem Web nachladen und die direkt bei Systemstart unter root-rechten laufen lassen. Bei sudo ist der Pwd-Keep die Default-Einstellung, bei pkexec nicht. Also ist das so mit pkexec nicht möglich. Das ist also absolut nicht identisch.

    Das ist kein Bashing, ich stelle nur Fakten fest. Das Einfallstor bei sudo ist der 15-minütige-default-Password-Keep, der bei pkexec nicht voreingestellt ist. Man kann das machen, aber dann muss man das explizit machen... und das ist einigermaßen kompliziert, weil man den Umweg über einen Wrapper gehen muss. Vielleicht geht das noch anders, aber das weiss ich nicht.

    Fakt ist, wenn ich bei sudo den Pwd-Keep deaktiviere, kann ich auch gleich pkexec verwenden, weil das Handling dann identisch ist. Wenn ich zudem auch grafische Programme mit root-Rechten starten will, kann ich das -statt mi den Sudo-Prothesen- auch mit pkexec machen. Wenn ich pkexec ohne die Schwächen von sudo und ohne Komfortverlust nutzen kann, kann ich auch ganz auf sudo verzichten.

    Und um z.B. des Users ~/.bashrc zu beschreiben benötigt man nun wirklich kein sudo.

    Richtig, Du hast es erfasst, nur das das mit Nutzung des Polkits keine Auswirkung hat.... ein kleiner aber feiner Unterschied.

    Einmal editiert, zuletzt von WinterUnit16246 (15. Februar 2018 um 18:53)

  • Der Schutz komt aber nicht vom Linux-System, sondern ist imho in der nebensächlichen Tatsache begründet, dass der Rechner glücklicherweise ja noch hinter einem Router mit NAT läuft und das der Router bei IPv6 zumindest noch SYN-Pakete von draußen blockt.

    Aber bei deinem Szenario:

    Zitat

    Wirklich jedes völlig normale Anwendungsprogramm, völlig egal ob es der LO-Writer ist, oder Chromium, oder Firefox, oder Gimp, oder ein beliebiges Browser-Addon, oder ein beliebiges Plugin eines Programms (wie beim DoubleCmd oder DeadBeef) üblich, oder ein beliebiges Java-Script kann die Attacke zeitlich total losgelöst von den User-Aktivitäten vorbereiten. Was ist allen gemeinsam? Sie laufen im User-Space des Anwenders... und haben damit Lese und Schreibrechte auf die .bashrc oder auch auf .bash_aliases.

    (siehe oben) kann der Router bzw. das NAT, doch diese Dateien nicht schützen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Aber bei deinem Szenario:

    (siehe oben) kann der Router bzw. das NAT, doch diese Dateien nicht schützen.

    Ganz genau so ist es... wenn Du Dir von einem Dritt-PPA eine Software runterlädst, oder einfach nur ein Deb-Packet aus dem Web, oder einfach nur ein gerade in den Foren gehyptes Browser-Add-ON, dann kann eine solche Anwendung Deine .bashrc verändern.

    Es ist nur ein Einzeiler, der sich direkt bei Starten des Terminal wegforkt. Was tut er? Prüfen ob der User schon vorhanden ist, wenn ja, exit. Ansonsten Endlos-loop mit 60 Sekunden-Sleeps, um auf aktiven Passwd-Keep zu prüfen. Wird der PWD-Keep gefunden, AddUser mit UID<1000, AddGroup sudo, exit. Ansonsten endlos warten, irgendwann gibts das sudo-Kommando im Terminal... und dann passierts.

    Ich habe das aus Neugier in ner halben Stunde zusammengeschustert. Mit dem Polkit ists mir nicht gelungen. Aber man braucht auch keinen User anzulegen, eben schnell nen Binary runterladen und ne Service-Unit für den Systemstart schreiben.... dann ist das Thema durch.... 15 Minuten reichen allemal dafür.

  • wenn Du Dir von einem Dritt-PPA eine Software runterlädst, oder einfach nur ein Deb-Packet aus dem Web, oder einfach nur ein gerade in den Foren gehyptes Browser-Add-ON, dann kann eine solche Anwendung Deine .bashrc verändern.

    Wobei zumindest die Software aus dem PPA und das deb-Paket i.A. ohnehin mit root-Rechten installiert werden und diesen Umweg gar nicht gehen müssten. Oder verstehe ich Dich da falsch?

  • @ThomasL

    Neue SD Karte, neues Glück.

    Ich habe jetzt die Änderungen in der Datei /usr/share/polkit-1/actions/org.freedesktop.login1.policy gemacht und auth_admin oder auth_admin_keep in yes geändert.

    mit Eingabe von systemctl poweroff in der Konsole fährt die Beere ohne Frage nach Passwort runter.

    Danke

    Ich habe eine Raspi Beere 3 und freue mich, dass sie läuft. Ich programmiere gern und freue mich wenn es auch funktioniert. Aber grundsätzlich hab ich keine Ahnung davon :conf:

    Bitte löscht nie dieses Forum! Hier steht alles drin was ich mir merken muss!

  • Wobei zumindest die Software aus dem PPA und das deb-Paket i.A. ohnehin mit root-Rechten installiert werden und diesen Umweg gar nicht gehen müssten. Oder verstehe ich Dich da falsch?

    Richtig, aber das ist nur die vernebelnde halbe Wahrheit und entspricht für mich faktisch dem zu Windows analogen Sachverhalt "Manuelle Installation aus möglicherweise dubioser Quelle", was dann folgerichtig zu dem Schluss führt, dass die Kompromittierung (wenns so war) von innen heraus erfolgt ist. Es gibt keinen Schutz, der gegen den berechtigten User wirksam ist.... außer diesem User die Berechtigung dazu zu entziehen.

    Bezogen auf die halbe Wahrheit gilt das aber nicht für ein Browser-Addons, oder ein Mailer-AddOn (Anti-Spam/Vir/etc.), oder ein Plugin irgend eines anderen Programms... dafür brauchst Du keine Root-Rechte, weil das alles im User-Space abläuft und die tatsächliche Infektion erfolgt irgendwann mit Hilfe eine beliebigen sudo-Kommandos, was in keinem zeitlichen Zusammenhang mit dem zuvor installierten Addon, Plugin oder sonstigen Javascript steht.

    So richtig ist mir nicht klar, welches Interesse daran besteht, die von sudo plus obligatorischen Passwd-Keep real ausgehende Gefahr für die Integrität eines Systems so zu verharmlosen.....

  • Bezogen auf die halbe Wahrheit gilt das aber nicht für ein Browser-Addons, oder ein Mailer-AddOn (Anti-Spam/Vir/etc.), oder ein Plugin irgend eines anderen Programms...

    Deswegen hatte ich das von Dir bereits erwähnte Browseraddon ja auch explizit nicht erwähnt.

    So richtig ist mir nicht klar, welches Interesse daran besteht, die von sudo plus obligatorischen Passwd-Keep real ausgehende Gefahr für die Integrität eines Systems so zu verharmlosen.....

    Von meiner Seite aus: Gar keines. Ich finde das von Dir beschriebene Angfriffsszenario durchaus interessant und werde auch meinen eigenen Gebrauch von sudo noch mal überdenken. Ich denke halt nur, daß alle (Schad-)Software, die ohnehin mit root-Rechten ausgeführt wird, nicht auf irgendeine Sicherheitslücke im System angewiesen ist, um dieses zu kompromittieren. Die Installation von Systempaketen aus unbekannter/nicht vertrauenswürdiger Quelle ist also per se ein Sicherheitsrisiko, das man sudo m.E. nicht zusätzlich zu dem von Dir beschriebenen Szenario in die Schuhe schieben sollte.

  • Von meiner Seite aus: Gar keines

    Hab ich verstanden! ;)

    Die Installation von Systempaketen aus unbekannter/nicht vertrauenswürdiger Quelle ist also per se ein Sicherheitsrisiko, das man sudo m.E. nicht zusätzlich zu dem von Dir beschriebenen Szenario in die Schuhe schieben sollte.

    Das tue ich auch gar nicht. Ich bleibe dabei, die ausdrückliche Gefahr kommt seltenst direkt von außen, es ist immer der berechtigte User, der vorher die Tür öffnet, in dem er ein richtiges Programm aus unbekannter Quelle installiert. Da spielt es also gar keine Rolle, ob er das mit sudo tut oder sich voher als root anmeldet.

    Ich beschränke mich deswegen immer wieder nur darauf und ich wiederhole das immer wieder, das Problem ist allein der 15-minütige Pwd-Keep. Das bedeutet, selbst wenn der User KEINE dubiose Software direkt installiert und sudo wirklich gewissenhaft verwendet, so kann das System trotzdem kompromittiert werden, nur weil er z.B. ein von irgendwem empfohlenes AddOn im Browser installiert hat. Das heisst, diese AddOn-Installation hat gar nix mit der irgendwann stattfindenden seriösen Verwendung eines sudo-Komandos zu tun. Aber dieses AddOn kann seine .bashrc verändern ... und das reicht... das ist nur ne doofe while-Schleife, die checkt, ob sudo nen Pwd will oder ohne funktioniert... funktionierts ohne, dann peng... das wars ... der Patient hat ne Grippe.....

    Das ist das eigentlich perfide daran... nur dieser Pwd-Keep.... schaltest Du den ab, ist sudo ok. Abgesehen davon, dass ich es grundsätzlich ablehne, dass ein User unter seiner UID Änderungen am System durchführen darf.... aber das ist ne andere Sache, das ist nur meine Sichtweise. Das kann jeder sehen, wie er mag. Es reicht vermutlich auch schon, die eigene .bashrc plus Anhängsel auf root:root zu schreiben und dem User nur Lese-Rechte zu geben, oder das immutable-Flag zu setzen, wie von rpi444 erwähnt... keine Ahnung... aber das ist für mich auch nur wieder ein Workaround zu Lösung von unnötigen Problemen

  • Hallo @ThomasL,

    ich lese hier jetzt die ganze Zeit mit, kann dein Problem mit sudo nachvollziehen und bin jetzt etwa der selben Meinung wie Manul: sudo bzw Password-Keep überdenken.

    Nur eines "stört" mich die ganze Zeit schon. Immer wieder erwähnst du "Browser-Addon". Browser Addons (von den großen Browsern ausgehend) sind mithilfe dem WebExtension API geschrieben. Soll heißen: normale Web-Technologien (HTML, CSS für ein UI, eventuell) und hauptsächlich "klassisches" JS (im Gegensatz zu etwa NodeJS). Damit kann man (im Browser, wie gesagt, es gibt auch NodeJS und new File(...)) gar keine beliebigen Dateien lesen oder schreiben!

    Ein solches Add-On hat das HTML5 Storage API und einen "Save As" Dialog mit Userinteraktion als Möglichkeiten. Punkt.

    Das FileSystem API hat sich nicht durchgesetzt und ist/war nur im Chrome implementiert. Wer den Browser verwendet, ist sowieso selbst schuld :stumm::bussi2:

    Also:

    I get your point. Aber das Browser Addon ist IMO ein schlechtes Beispiel. Korrigiert mich gerne, wenn ich falsch liege.

  • ich lese ja auch immer mit hier, aber ich versteh nix davon und hab mittlerweile meine Frage vergessen:blush:

    Ich habe eine Raspi Beere 3 und freue mich, dass sie läuft. Ich programmiere gern und freue mich wenn es auch funktioniert. Aber grundsätzlich hab ich keine Ahnung davon :conf:

    Bitte löscht nie dieses Forum! Hier steht alles drin was ich mir merken muss!

  • Nur eines "stört" mich die ganze Zeit schon. Immer wieder erwähnst du "Browser-Addon". Browser Addons (von den großen Browsern ausgehend) sind mithilfe dem WebExtension API geschrieben.

    :::

    Also:

    I get your point. Aber das Browser Addon ist IMO ein schlechtes Beispiel. Korrigiert mich gerne, wenn ich falsch liege.

    Ich weiss, dass FF diese WebExtensions erst vor gar nicht allzulanger Zeit ins Leben gerufen hat. Speziell dazu kann ich auch nicht viel sagen. Aber ich greife hierbei auf meine eigenen Erfahrungen vom letzten Jahr zurück, als ich für meine Thunderbird-Installationen ein privates AddOn geschrieben habe, und von dem aus konnte ich alles tun. Ich glaube, zu dem Zeitpunkt lebte auch noch das alte AddOn-Interface im FF.... das mag sichjedoch in aktueller FF-Version geändert haben.

    Der Browser ist auch nur insofern ein gutes Beispiel, weil wirklich auch dem letzten der Begriff AddOns in diesem Zusammenhang ein Begriff ist. Jeder kann das begreifen und damit das Problem erkennen. Aber was ist beispielsweise mit anderen Browsern, wie Palemoon, Opera, Chromium, Midori.... zumindest von Palemoon weiss ich, dass der auch AddOns unterstützt. Alleredings weiss ich nicht, ob der auch dieses WebExt-API implementiert hat oder nach nach altem Schema werkelt.

    Aber wie gesagt, der Browser war nur ein beliebiges Beispiel, welches eben alle kennen. Das allerdings wirklich spannende ist die Frage, welche Apps unterstützen auch Addons oder Plugins? Und da kriegt das eine ganz neue Dimension: Thunderbird tuts, VLC tuts auch,Evolution ebenfalls, Gimp tut das, DoubleCommander, DeadBeef, Audacity auch, Calibre unterstützt Erweiterungen, Notepadqq.... welche noch alle? Glaubst Du wirklich, dass sich auch nur einer von denen an Regeln hält bzw. halten muss? Wenn, dann nur freiwilig... aber wer kann das kontrollieren?

  • @ThomasL

    ich muss da noch mal nachhaken und dir danken für die Mühe :danke_ATDE: in Beitrag #30 (ich weiß, ich bin sehr langsam)

    Ich bin nun ein neugieriger Mensch, auch wenn ich zu den Lernbehinderten und erst recht zu den Lese-faulen gehöre, probiere ich doch einiges um dazu zu lernen.

    Ich habe mir einen Rechner zusammen gebaut und Linux Mint installiert. Den habe ich dann auch so eingerichtet um ihn vom "Hauptrechner" mit Windows steuern zu können. Kurz gesagt, mit Zugriff über Remotedesktopverbindung.

    Nun ein ähnliches Problem: ich habe aus der Remote Verbindung die Desktop- Oberfläche und dort die Knöpfe zum Runterfahren bzw. Neustart gefunden :thumbup:.

    Diese haben aber nicht das getan, was dran stand. Der Ergebnis sah so aus, dass ich runter fahren wollte und mich nur aus Remote - Verbindung entfern habe.

    Ich habe genau die angesprochenen Änderungen mit "yes" gemacht und das runterfahren klappt:lol:

    Was leider noch nicht geht, ist der Neustart.

    Gruß Guido

    Ich habe eine Raspi Beere 3 und freue mich, dass sie läuft. Ich programmiere gern und freue mich wenn es auch funktioniert. Aber grundsätzlich hab ich keine Ahnung davon :conf:

    Bitte löscht nie dieses Forum! Hier steht alles drin was ich mir merken muss!

  • Sofern deine Frage - und der ganze andere Rotz hier - nichts mit dem ursprünglichen Anliegen (Beitrag#1) zu tun hat => Bitte einen neuen Thread eröffnen.

    Es geht hier sogar schon soweit dass keine Rücksicht auf den Themen-Ersteller genommen wird und dieser vor lauter OT-Fachgesimpel seine Frage vergisst...

    Wir können dazu übergehen und das gesamte Forum in nur einen einzigen Thread verwandeln in dem dann einfach alles mögliche rein geschrieben wird...Spätestens wenn mal jemand gezielt etwas nachgucken möchte wird der aber's kotzen kriegen.

  • Sofern deine Frage - und der ganze andere Rotz hier - nichts mit dem ursprünglichen Anliegen (Beitrag#1) zu tun hat => Bitte einen neuen Thread eröffnen.

    Es geht hier sogar schon soweit dass keine Rücksicht auf den Themen-Ersteller genommen wird und dieser vor lauter OT-Fachgesimpel seine Frage vergisst...

    Wir können dazu übergehen und das gesamte Forum in nur einen einzigen Thread verwandeln in dem dann einfach alles mögliche rein geschrieben wird...Spätestens wenn mal jemand gezielt etwas nachgucken möchte wird der aber's kotzen kriegen.

    du hast so recht, was ich schon angemerkt hatte, aber mein letzte Eintrag bezog sich zu 100% Auf die Fragestellung und das Problem, wie man die "blödsinnige" Passwort-abrage beim runterfahren weg bekommt! Genau das ist im Beitrag #30 beschrieben.

    PS: ich betrachte das Problem als erledigt :danke_ATDE:

    Ich habe eine Raspi Beere 3 und freue mich, dass sie läuft. Ich programmiere gern und freue mich wenn es auch funktioniert. Aber grundsätzlich hab ich keine Ahnung davon :conf:

    Bitte löscht nie dieses Forum! Hier steht alles drin was ich mir merken muss!

  • Was leider noch nicht geht, ist der Neustart.

    Sorry, ich bin raus und das Problem interessiert mich nicht mehr. Tatsache ist, dass Dein Problem ein Rechte-Problem ist, was auch nur mit der Vergabe von Rechten zu lösen ist. Dabei ist zu bedenken, dass jede falsche Vergabe von Rechten auch dazuführen kann, jegliche Sicherheit eines PC auszuhebeln, wie das beispielsweise in Posting #31 mit NOPASSWD angedeutet wurde. Insofern war das also absolut nicht Off-Topic gewesen. Darüber hinaus ist aber auch die Frage nach dem grundsätzlichen Handling beim Umgang mit Rechte-Vergabe-Tools gerade für einen Anfänger wichtig, um eben auch deutlich zu machen, welche Gefahren das beinhaltet.

    Der Sprachgebrauch, dieses alles als Rotze und Kotze zu bezeichnen, ist in seiner Niveaulosigkeit kaum zu überbieten. Auf solch primitiver Ebene mag ich keine Gespräche, auch nicht die, die sich jetzt mit Deinem Problem befassen. Tut mir jetzt leid für Dich... aber Du bist nicht das erste Opfer dieser streitsuchenden niederen Blockwart-Mentalität, und Du wirst auch nicht das letzte sein. Ich bin damit raus... frag den Sheriff um Hilfe...

    Einmal editiert, zuletzt von WinterUnit16246 (17. Februar 2018 um 18:58)

  • @meigrafd hat voll recht, mit seinem Einwand. #74

    Ich aber bin neu und habe nichts zu sagen hier. Ich bin ja froh, wenn ich fragen darf.:geek:

    Ich habe nur aufmerken machen wollen, das ich mit diesem Thread nach Lösungen suche, um die Passwort- Abfrage beim runter fahren weg zu bekommen, die ich blödsinnig finde. #70

    Bin nun belehrt... alles gut!

    Ich finde das echt toll so unterstützt zu werden. Ich glaube auch ganz fest, dass ich das richtige Forum gewählt habe.

    Es sind viele Leute hier, die in ihren Beiträgen so viel wissen geben, was mir fehlt und hilft.

    Damit helft ihr auch den anderen Lesern oder eben Leuten, die genau vor diesem Abgrund stehen und hoffen einen Schritt weiter zu kommen, ohne zu fallen.

    Auch wenn ich der Lernfaule oder/und Lesebehinderte bin, oder war das andersrum? Egal!

    Ich habe in meinem Leben genug andere Stellen mit IT Sachen, wo ich beruflich Leute trainiere, oder einfach nur aus Freundschaft helfe.

    Denen die Hilfe brauchen, werde ich aber ganz sicher nicht sagen, „ich bin raus“, nur weil sie was nicht verstehen oder anders sehen.

    Ich wollte schon beim ersten Mal nicht reagieren #55, aber mal Hand aufs Herz Thomas… mit dem was ich von dir lese in der geordneten Form, passt das nicht zu dir.

    Wenn du mir persönlich was sagen möchtest, schreib mir oder rufe mich an, die Nummer gebe ich dir gern… Aber nicht durch die Blume erklären dass… na egal steht ja schon alles da.

    Trotzdem finde ich deine Beiträge gut und würdige deine Mühe. Aber „Rotze und Kotze“ hat doch keiner gesagt?! Oder hab ich was verpasst?

    Seid bitte alle wieder lieb und helft wenn ihr könnt, so wie ich das mache, wenn ich eine Antwort kenne zum anliegenden Problem!

    PS: ich bin nicht nachtragend… die Schlepperei würde mich ja fertig machen

    Ich habe eine Raspi Beere 3 und freue mich, dass sie läuft. Ich programmiere gern und freue mich wenn es auch funktioniert. Aber grundsätzlich hab ich keine Ahnung davon :conf:

    Bitte löscht nie dieses Forum! Hier steht alles drin was ich mir merken muss!

  • Ich aber bin neu und habe nichts zu sagen hier.

    Nicht ganz... Hier gibt es keine Hackordnung, jedenfalls keine offizielle. Klar darfst du hier auch den Ton angeben und zurechtweisen, sofern angebracht. Pöbeln ist weniger gut, aber da befürchte ich nichts. (alles IMO).

    Aber „Rotze und Kotze“ hat doch keinergesagt?! Oder hab ich was verpasst?

    Allerdings. Der liebe meigrafd in #74 - lies selbst. Emphasis mine:

    Sofern deine Frage - und der ganze andere Rotz hier - nichts mit dem ursprünglichen Anliegen (Beitrag#1) zu tun hat => Bitte einen neuen Thread eröffnen.


    Es geht hier sogar schon soweit dass keine Rücksicht auf den Themen-Ersteller genommen wird und dieser vor lauter OT-Fachgesimpel seine Frage vergisst...


    Wir können dazu übergehen und das gesamte Forum in nur einen einzigen Thread verwandeln in dem dann einfach alles mögliche rein geschrieben wird...Spätestens wenn mal jemand gezielt etwas nachgucken möchte wird der aber's kotzen kriegen.

    Auch wenn ich's nicht ganz verstehe, du bist der TE und hast keine Beschwerden geäußert bzgl. OT (soweit ich das sehe) - so, what's the problem?

    • Offizieller Beitrag

    Ich aber bin neu und habe nichts zu sagen hier. Ich bin ja froh,wenn ich fragen darf.

    Guido64 , das ist keine Ausrede sich nicht einzumischen. ;) Selbstverständlich darf hier jeder seine Fragen stellen, die Antwort hängt von Lust und leider auch der Laune des Antwortetem ab. :shy:

    Dieser Thread ist IMHO schon etwas "besonders", da hier aus einer einfachen Frage eine tiefgründige Diskussion wurde und damit meine ich tatsächlich so eine Art Grunsatzdiskussion was das benutzen von sudo betrifft. Einerseits bereue ich meinen Beitrag #12 (hatte ein Rechteproblem im Hinterkopf) auf dem dann Dein Beitrag #31 aufbaute, der z.T. diese Diskussion auslöste, andererseits wurden dadurch einige Leute hier dazu angeregt, ihr sudo-Verhalten zu überdenken.

    meigrafd Du kennst meine Einstellung bezüglich OT. :wink:Die Ausschweifungen waren wirklich sehr weit, da kann ich Dich schon verstehen, aber meines Erachtens war (noch) alles im Rahmen der Fragestellung.

    @ThomasL Niveau ist kein Indikator für Wissen. Um es auch gleich mal fäkal auszudrücken: Damit will ich Dir nicht ans Bein pinkeln! :stumm:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!